Gazzetta n. 139 del 18 giugno 2018 (vai al sommario) PRESIDENZA DEL CONSIGLIO DEI MINISTRI DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 25 maggio 2018 Criteri e modalita' per l'individuazione del responsabile della protezione dei dati personali, mediante il quale la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali, ai sensi del regolamento (UE) n. 2016/679. IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 23 agosto 1988, n. 400, recante disciplina dell'attivita' di governo e ordinamento della Presidenza del Consiglio dei ministri, e successive modificazioni; Visto il decreto legislativo 30 luglio 1999, n. 303, recante ordinamento della Presidenza del Consiglio dei ministri, a norma dell'art. 11 della legge 15 marzo 1997, n. 59, e successive modificazioni; Visto il decreto legislativo 30 marzo 2001, n. 165, recante norme generali sull'ordinamento del lavoro alle dipendenze selle amministrazioni pubbliche, e successive modificazioni; Visto il decreto legislativo 8 aprile 2013, n. 39, recante «Disposizioni in materia di inconferibilita' e incompatibilita' di incarichi presso le pubbliche amministrazioni e presso gli enti privati in controllo pubblico, a norma dell'art. 1, commi 49 e 50, della legge 6 novembre 2012, n. 190»; Visto il decreto del Presidente del Consiglio dei ministri 22 novembre 2010, recante la disciplina dell'autonomia finanziaria e contabile della Presidenza del Consiglio dei ministri; Visto il decreto del Presidente del Consiglio dei ministri 1° ottobre 2012, e successive modificazioni e integrazioni, recante ordinamento delle strutture generali della Presidenza del Consiglio dei ministri; Visto il decreto del Presidente del Consiglio dei ministri 30 novembre 2006, n. 312, concernente il trattamento dei dati sensibili e giudiziari presso la Presidenza del Consiglio dei ministri; Visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati (di seguito regolamento); Considerato che l'art. 4 del regolamento individua come titolare del trattamento «la persona fisica o giuridica, l'autorita' pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalita' e i mezzi del trattamento dei dati personali»; Considerato, altresi', che l'art. 37, paragrafo 1, lettera a), del regolamento prevede l'obbligo per il titolare o il responsabile del trattamento di designare il responsabile della protezione dei dati personali (di seguito RPD) «quando il trattamento e' effettuato da un'autorita' pubblica o da un organismo pubblico»; Considerato che l'art. 37 del Regolamento, ai paragrafi 5 e 6, stabilisce che il RPD e' designato in funzione delle qualita' professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, della capacita' di assolvere i compiti di cui all'art. 39, e che puo' essere anche un dipendente del titolare del trattamento o del responsabile del trattamento oltre che assolvere i suoi compiti in base a un contratto di servizio; Considerato che la Presidenza del Consiglio dei ministri, nel complesso delle sue articolazioni organizzative, e' titolare del trattamento dei dati personali; Considerata l'autonomia organizzativa della Scuola nazionale dell'amministrazione, posta sotto la vigilanza della Presidenza del Consiglio dei ministri, le peculiarita' organizzative e le competenze del Dipartimento della protezione civile, nonche' la diversa dislocazione territoriale oltre alle peculiarita' organizzative e alle specifiche competenze dei commissari straordinari del Governo di cui all'art. 11 della legge 23 agosto 1988, n. 400, dei commissari straordinari incaricati sulla base di leggi speciali, dei rappresentanti del Governo nelle Regioni e delle Province autonome di Trento e di Bolzano, e dell'Unita' tecnica amministrativa (UTA) con competenze in materia di gestione del contenzioso sullo smaltimento dei rifiuti in Campania; Ritenuto opportuno procedere alla individuazione dei soggetti, mediante i quali la Presidenza del Consiglio dei ministri esercita le funzioni di titolare del trattamento dei dati personali; Ritenuto, altresi', necessario procedere alla individuazione del RPD della Presidenza del Consiglio dei ministri; Visti i decreti del Presidente della Repubblica 12 dicembre 2016, di nomina del Governo; Visto il decreto del Presidente del Consiglio dei ministri in data 16 dicembre 2016, con il quale alla Sottosegretaria di Stato alla Presidenza del Consiglio dei ministri on. avv. Maria Elena Boschi e' stata delegata la firma dei decreti, degli atti e dei provvedimenti di competenza del Presidente del Consiglio dei ministri, ad esclusione di quelli che richiedono una preventiva deliberazione del Consiglio dei Ministri e di quelli relativi alle attribuzioni di cui all'art. 5 della legge 23 agosto 1988, n. 400; Decreta: Art. 1 Definizioni 1. Ai fini del presente decreto si intende per: a) dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile in PCM; si considera identificabile la persona fisica che puo' essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o piu' elementi caratteristici della sua identita' fisica, fisiologica, genetica, psichica, economica, culturale o sociale; b) trattamento: qualsiasi operazione o insieme di operazioni, compiute in PCM con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; c) titolare del trattamento: la Presidenza del Consiglio dei ministri nelle sue articolazioni organizzative; d) responsabile del trattamento: la persona fisica o giuridica, estranea alla Presidenza del Consiglio dei ministri che tratta dati personali per conto del titolare del trattamento; e) violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.   Art. 2 Oggetto e ambito di applicazione 1. La Presidenza del Consiglio dei ministri (di seguito PCM) e' il titolare del trattamento dei dati personali. 2. Il presente decreto individua i soggetti medianti i quali la PCM esercita le funzioni di titolare del trattamento dei dati personali. 3. Le disposizioni del presente decreto si applicano alle seguenti articolazioni organizzative della PCM: dipartimenti e uffici autonomi, come individuati all'art. 2 del decreto del Presidente del Consiglio dei ministri 1° ottobre 2012, e gli organismi collegiali presso gli stessi istituiti, uffici di diretta collaborazione del Presidente e delle autorita' politiche delegate dal Presidente del Consiglio, strutture di missione. 4. Sono autonomi titolari del trattamento dei dati personali le strutture dei commissari straordinari del Governo di cui all'art. 11 della legge 23 agosto 1988, n. 400, le strutture dei commissari straordinari incaricati sulla base di leggi speciali, le strutture dei rappresentanti del Governo nelle Regioni e nelle Province autonome di Trento e di Bolzano, nonche' il Dipartimento della protezione civile, la Scuola nazionale dell'amministrazione e l'UTA. 5. Le strutture di cui al comma 4, provvedono in via autonoma a tutti gli adempimenti previsti dal regolamento, nonche' alla designazione di un proprio RPD. 6. Ove ricorra l'ipotesi di contitolarita' con la PCM, le rispettive responsabilita' sono disciplinate dagli accordi previsti dall'art. 26 del regolamento.   Art. 3 Esercizio delle funzioni di titolare del trattamento dei dati personali 1. In conformita' all'assetto organizzativo della PCM, nell'ambito delle strutture di cui all'art. 2, comma 3, i soggetti individuati per l'esercizio delle funzioni di titolare del trattamenti dei dati personali, ciascuno nel rispettivo ambito di competenza, sono: a) i Capi dei Dipartimenti; b) i Capi degli uffici autonomi; c) i Capi degli uffici di diretta collaborazione del Presidente; d) i Capi di Gabinetto degli uffici di diretta collaborazione dei Ministri e dei Sottosegretari; e) i Coordinatori delle strutture di missione, qualora non istituite presso strutture generali della PCM; f) il Coordinatore della Segreteria tecnica della Commissione per le adozioni internazionali il Coordinatore del Servizio per i voli di Stato, di Governo e umanitari, tenuto conto della particolare posizione di autonomia funzionale e gestionale delle unita' organizzative cui sono preposti. 2. Il Segretario generale esercita le funzioni di titolare del trattamento dei dati personali di cui all'art. 4. 3. Per le attivita' a carattere trasversale, esercita le funzioni di titolare del trattamento dei dati il Capo della Struttura generale con competenza di coordinamento sulla materia. 4. I Capi delle strutture di cui al comma 3, impartiscono le necessarie istruzioni a tutti i dirigenti delle strutture della PCM coinvolte nel trattamento.   Art. 4 Attivita' di coordinamento 1. Il Segretario generale svolge funzioni di coordinamento, fornendo indicazioni di carattere generale alle strutture in termini di definizione delle policy in materia di trattamento dei dati personali. 2. Il Segretario generale nomina il RPD e ne da' comunicazione al Garante per la protezione dei dati personali e alle strutture interessate. 3. Per lo svolgimento delle funzioni di cui al comma 1, il Segretario generale si avvale di una struttura di supporto tecnico e metodologico posta nell'ambito dell'Ufficio del Segretario generale.   Art. 5 Funzioni del titolare 1. I soggetti di cui all'art. 3, nell'ambito delle strutture cui sono preposti, assicurano il rispetto di tutti gli obblighi previsti dal regolamento e dalla normativa nazionale in capo al titolare del trattamento. 2. I soggetti di cui al comma 1, sono tenuti anche a porre in essere, nell'ambito delle proprie Strutture e nel rispetto delle proprie competenze e, ove necessario, in collaborazione con il Dipartimento per i servizi strumentali - Ufficio Informatica e telematica, misure tecniche e organizzative adeguate per garantire e dimostrare che il trattamento dei dati personali e' effettuato conformemente alle disposizioni del regolamento. 3. Ai soggetti di cui al comma 1 sono altresi' affidati i seguenti compiti: a) definire finalita', mezzi di trattamento e rispettive responsabilita' in merito all'osservanza degli obblighi previsti in caso di contitolarita' del dato personale ai sensi dell'art. 26 del regolamento; b) designare gli autorizzati al trattamento dei dati personali sulla base delle proposte dei dirigenti responsabili del procedimento, fornendo adeguate istruzioni per il loro corretto trattamento; c) stipulare i contratti di cui all'art. 28, paragrafo 3, del regolamento, per disciplinare il rapporto con il responsabile del trattamento di cui all'art. 7; d) notificare al Garante della protezione dei dati personali le violazioni dei dati personali (data breach) e provvedere alla comunicazione della violazione agli interessati, ai sensi degli articoli 33 e 34 del Regolamento, secondo quanto disposto all'art. 9, e darne informativa al Segretario generale e al RPD; e) nominare un «referente privacy» della struttura per il supporto all'esercizio delle funzioni di titolare del trattamento e alle attivita' di gestione degli adempimenti connessi alla protezione dei dati nonche' come punto di contatto con il RPD; f) effettuare l'analisi del rischio e la valutazione dell'impatto di cui all'art. 35 del regolamento; g) adottare misure appropriate al fine di garantire l'esercizio dei diritti di coloro i cui dati personali sono oggetto di trattamento previsti agli articoli da 15 a 18 e da 20 a 22 del regolamento; h) verificare la corretta predisposizione delle informative e curarne il costante aggiornamento.   Art. 6 Responsabile della protezione dei dati personali 1. Il Segretario generale nomina il RPD della PCM fra soggetti in possesso dei requisiti previsti dal regolamento e stabilisce la durata dell'incarico. 2. Il RPD assolve ai compiti previsti dall'art. 39 del Regolamento e agli eventuali altri compiti affidati allo stesso dal Segretario generale. 3. Per lo svolgimento dei compiti attribuiti, qualora non sia stata appositamente individuata, con contratto di servizi una societa' esterna, al RPD e' assegnato personale di supporto con specifiche competenze giuridiche, informatiche, di analisi e reingegnerizzazione di processi, di risk assessment e risk management, anche ricorrendo ad esperti incaricati ai sensi dell'art. 9 del decreto legislativo 30 luglio 1999, n. 303. 4. Il personale di cui al comma 3 e' collocato in una struttura, dotata di autonomia funzionale e gestionale, istituita con apposito decreto del Presidente del Consiglio dei ministri e posta presso l'Ufficio del Segretario generale. 5. La PCM sostiene il RPD nell'esecuzione dei compiti ad esso affidati assicurando l'autonomia e le risorse necessarie per assolverli come previsto dall'art. 38 del regolamento.   Art. 7 Registro delle attivita' di trattamento 1. Il Segretario generale indica alle strutture della PCM, con proprio atto, le modalita' operative per l'organizzazione del registro delle attivita' di trattamento ai sensi dell'art. 30 del regolamento. 2. I soggetti di cui all'art. 3, provvedono alla tenuta e all'aggiornamento del registro delle attivita' di trattamento, con riferimento agli ambiti di competenza delle strutture cui sono preposti. 3. Il Dipartimento per i servizi strumentali assicura la disponibilita' di una procedura informatizzata di cui le strutture si avvalgono per la gestione del registro delle attivita' di trattamento.   Art. 8 Responsabile del trattamento 1. La funzione di responsabile del trattamento discende da contratto o altro atto giuridico, sottoscritto dal titolare del trattamento ossia da chi ne esercita le funzioni, ai sensi dell'art. 3. 2. Il responsabile del trattamento tratta i dati personali in applicazione di quanto espressamente previsto nel contratto o in altro atto giuridico di cui al comma 1, e ai sensi degli articoli 28, 29, 30 e 31 del regolamento, in ordine a: a) materia disciplinata e durata del trattamento; b) natura e le finalita' del trattamento; c) tipo di dati personali; d) categorie di interessati; e) obblighi e i diritti del titolare del trattamento.   Art. 9 Violazione dei dati personali 1. Chiunque venga a conoscenza di una violazione dei dati personali e' tenuto a segnalarlo, per il tramite del proprio superiore gerarchico, al soggetto che esercita le funzioni di titolare del trattamento che deve provvedere tempestivamente ai sensi del presente articolo. 2. Il responsabile del trattamento informa il soggetto che esercita le funzioni di titolare del trattamento tempestivamente, dopo essere venuto a conoscenza della violazione. 3. Il soggetto che esercita le funzioni di titolare del trattamento, ove possibile, notifica la violazione dei dati personali al Garante della protezione dei dati personali entro 72 ore dal momento in cui ne sia venuto a conoscenza, a meno che sia improbabile che la stessa violazione presenti un rischio per la tutela dei diritti e delle liberta' delle persone fisiche. La notifica viene effettuata, prevedendo almeno gli elementi indicati al paragrafo 3 dell'art. 33 del regolamento. 4. La notifica al Garante della protezione dei dati personali effettuata oltre le 72 ore, deve essere motivata. 5. Le segnalazioni e le notifiche dei casi di violazione dei dati personali sono comunicati dai soggetti di cui all'art. 3, al Segretario generale e al RPD. 6. Ulteriori, specifiche modalita' operative per la segnalazione e gestione dei casi di violazione dei dati personali possono essere disciplinate mediante linee guida e supportate da soluzioni applicative messe a disposizione dal Dipartimento per i servizi strumentali.   Art. 10 Autorizzati al trattamento 1. I dirigenti della Presidenza del Consiglio dei ministri che trattano dati personali in relazione alle competenze attribuite o comunque esercitate presso gli uffici cui sono preposti, secondo l'ordinamento della PCM, sono autorizzati al trattamento nel rispetto delle misure e delle istruzioni adottate da chi esercita le funzioni di titolare del trattamento dei dati personali. 2. E' autorizzato al trattamento dei dati personali tutto il personale in servizio presso la PCM che tratta dati personali in relazione alle competenze della unita' organizzativa alla quale e' stato assegnato, salvo eventuali diverse determinazioni adottate dai soggetti di cui all'art. 3.   Art. 11 Formazione del personale 1. Il Dipartimento per il personale assicura la programmazione e l'organizzazione delle attivita' formative del personale per la corretta applicazione delle disposizioni in materia di trattamento dei dati personali.   Art. 12 Oneri 1. Gli oneri aggiuntivi derivanti dall'attuazione del presente decreto gravano sui pertinenti capitoli del bilancio di previsione della PCM, nei limiti delle risorse ivi disponibili. Il presente decreto e' trasmesso ai competenti organi di controllo ed e' pubblicato nella Gazzetta Ufficiale della Repubblica italiana. Roma, 25 maggio 2018 p. Il Presidente del Consiglio dei ministri La Sottosegretaria di Stato Boschi Registrato alla Corte dei conti il 5 giugno 2018 Ufficio controllo atti P.C.M. Ministeri giustizia e affari esteri, reg.ne prev. n. 1196